私有局域網與Internet的互聯課程議題通過本次內容的學習，希望您能夠： 掌握NAT概念及其特點 掌握NAT工作原理 掌握NAT工作原方式 學會靜態NAT配置、動態NAT配置和PAT配置學習目標１４.1

NAT概念和特點問題提出隨著Internet技術的飛速發展，起來越多的用戶加入到Internet，無論在辦公室、賓館、學校、公司及家庭，人們都需要接入Internet進行辦公、娛樂等，互聯網中任何兩臺主機間通信需要全球唯一的IP地址。目前，Internet的一個重要問題是IP地址需求急劇膨脹，IP地址空間已近衰竭，而NAT的使用恰好緩解了這個問題。解決辦法還可以通過其它的一些技術來節省IP地址的使用如：1.可變長子網掩碼（VLSM）2.無類域間路由（CIDR）3.網絡地址轉換（NAT）4.IPv6：為解決IP地址耗盡問題，IPv6應該是最終的解決手段，但是由于現有網絡都使用IPv4，絕大多數都不支持IPv6，要升級設備需要大量的資金，是一個長期且浩大的工程。5什么是NATNAT（NetworkAddressTranslation）就是將網絡地址從一個地址空間轉換到另外一個地址空間的行為。它使得一個使用私有地址的網絡中的主機以合法地址出現在Internet上。Internet/24/24為什么需要NAT?IP地址危機

IPv4地址空間不足在為企業內部網絡、測試實驗室或家庭進行網絡編址時，可以使用私有地址，而不必每臺設備都花錢從ISP或注冊中心哪里獲得全球唯一的地址。

—55（/8）

—55（/12）

—55（/16）

但是這些地址在Internet上是不可被路由的。為什么使用NAT？OutsideInsideInternetNAT

border

routerSASA

內網對Internet的訪問網絡安全保護技術節省IP地址在內部局域網提供外部網絡服務使用NAT的優缺點優點缺點節省合法地址引入延遲減少地址沖突的機會喪失端到端的IP跟蹤能力靈活連接Internet一些特定應用可能無法正常工作，如IPSEC，GRE，L2TP等維持局域網的私密性，因為內部IP地址是不公開的NAT的種類NAT功能通常被集成到路由器、防火墻或單獨的NAT設備中。NAT路由器被置于內部網和外網的邊界上，在數據包發送到外部網絡之前將數據包的內部私有IP地址轉換為Internet上的合法地址。NAT也可以應用到防火墻技術里，把個別IP地址隱藏起來不被外界發現，使外界無法直接訪問內部網絡，從而對內部網絡起到保護作用。NAT的類型NAT（NetworkAddressTranslation）：轉換后，一個內部本地IP地址對應一個全局IP地址。

NAT又分為：靜態NAT和動態NAT。NAPT（NetworkAddressPortTranslation或NPAT）：轉換后，多個內部本地地址對應一個全局IP地址。NAT基本原理NAT:NetworkAddressTranslation網絡地址轉換NAT是一種地址映射技術，將主機的私有IP地址映射為一個外部唯一可識別的公用IP地址

Router(NAT)LAN(inside)WAN(outside)1源=目的=234源=目的=源=目的=源=目的=HOSTSERVER上行流下行流

內網外網私有IP地址公用IP地址私有地址和公有地址私有地址是指內部網絡(局域網內部)的主機地址，而公有地址是局域網的外部地址(在因特網上的全球唯一的IP地址)。因特網地址分配組織規定以下的三個網絡地址保留用做私有地址：

-55-55-55NAT工作原理Internet內網內部本地地址網絡地址轉換表（簡化）內部全局地址HostBAASADDABBSACDANAT/NAPT的術語內部本地地址－InsideLocalAddress

指分配給內部網絡主機的IP地址，該地址可能是非法的未向相關機構注冊的IP地址，也可能是合法的私有網絡地址。內部全局地址－InsideGlobalAddress

合法的全局可路由地址，由網絡信息中心(NIC)或服務提供商提供的可在互聯網上傳輸的地址,在外部網絡代表著一個或多個內部本地地址。外部本地地址－OutsideLocalAddress

外部網絡的主機在內部網絡中表現的IP地址,該地址不一定是合法的地址,也可能是內部可路由地址。外部全局地址－OutsideGlobalAddress

外部網絡分配給外部主機的IP地址，該地址是合法的全局可路由地址。16

內部網絡外部網絡Packet1源地址：00目標地址:0Packet1源地址：目標地址:0Packet2源地址：0目標地址:00Packet2源地址：0目標地址:00/240/24NAT路由器NAT/NAPT的術語內部本地地址內部全局地址PC1PC2雙向NATPC1外部網絡Packet1源地址：00目標地址:Packet1源地址：目標地址:0Packet2源地址：目標地址:00Packet2源地址：0目標地址:00/240/24NAT路由器內部全局地址外部全局地址內部本地地址外部本地地址PC2１４.２靜態ＮＡＴ配置課程議題靜態NAT靜態NAT:

建立內部本地地址和內部全局地址的一對一的永久映射.永久的一對一IP地址映射關系需要向外部網絡提供信息服務的主機的IP地址必采用靜態NAT.NAT轉換的過程可以是動態或靜態NAT配置靜態NAT1.定義內部源地址與全局地址的靜態轉換關系

Router(config)#ipnatinsidesourcestaticlocal-addressglobal-address說明：local-address:內部私有地址;global-address:內部全局地址2.定義連接內部網絡的接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside3.定義連接外部網絡的接口Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ipnatoutside工作任務1：靜態NAT配置背景描述：你是某公司的網絡管理員，內部網絡有FTP服務器可以為外部用戶提供服務，服務器的IP地址必須采用靜態地址轉換，以便外部用戶可以使用這些服務。NAT/24R1R2F0/0F0/1F0/0/24/24內部網絡外部網絡問題：如果要外網的主機訪問到內網，路由器還需要配置什么？/24/24/24F0/1PC1/24工作要求①根據實際情況設計網絡拓撲結構②根據客戶需求制定配置方案和步驟，并以此為依據對網絡設備進行配置和調試。③將配置方案及主要命令記錄在工作過程記錄單上。④每一配置步驟都要求進行相應的驗證以保證當前配置的可靠性，尤其驗證NAT地址的轉換。⑤討論：如果要外網的主機訪問到內網，路由器還需要配置什么？配置步驟定義NAT轉換關系指定內部網絡接口指定外部網絡接口配置默認路由配置回程路由測試NAT轉換結果NAT的監視和維護命令顯示命令showipnatstatistics

：顯示轉換的統計信息showipnattranslations：顯示激活的轉換清除狀態命令clearipnattranslation*

：從NAT轉換表中清除所有的動態地址轉換條目總結：項目完成注意事項不要把inside和outside應用的接口弄錯。要加上能使數據包向外轉發的路由，比如默認路由。１４.３動態ＮＡＴ配置課程議題配置步驟定義NAT轉換關系指定內部網絡接口指定外部網絡接口配置默認路由案例分析某公司有員工60人，其中，市場部10人，產品銷售部20人，技術部20人，其他部門10人。一些員工因工作需要經常出差，平均每天在公司辦公人員30人。公司網絡使用/24地址組網，為了訪問Intenet，申請了30個公有IP地址，請你合理配置公司網絡，確保公司計算機能夠訪問Internet。相關知識

動態NAT簡介動態NAT在路由器中建立一個地址池，放置可用的內部全局地址。當有內部本地地址需要轉換時，查詢地址池，取出內部全局地址，實現地址轉換。當使用完畢后，這個內部全局地址返回地址池，供其他用戶使用。

動態NAT動態NAT:建立內部本地地址和內部全局地址池的臨時映射.臨時的一對一IP地址映射關系適用于只訪問外網服務，不提供信息服務的主機內部主機數可以大于全局IP地址數動態NAT工作過程動態NAT轉換（訪問過程）動態NAT轉換（響應過程）動態NAT工作過程配置動態NAT（1）定義一個可以根據需要進行分配的全局IP地址池1.Router(config)#ipnatpoolpool-namestart-addressend-address{netmask

mask}說明：

address-pool：地址池的名稱（可任意設定）

start-address：在地址池中定義地址范圍的起始IP地址

end-address：在地址池中定義地址范圍的結束IP地址

netmaskmask：定義網絡掩碼

例：定義一個NAT地址池。Router(config)#ipnatpoolmynatpool00netmask配置動態NAT（2）定義一個標準訪問列表，只有匹配該列表的地址才可以進行動態地址轉換Router(config)#access-list<1-99>

permitIP地址反掩碼定義內部源地址動態轉換關系：將由access-list指定的內部本地地址與指定的內部合法地址池進行地址轉換Router(config)#ipnatinsidesourcelist標準ACL號pool地址池的名稱例如：將訪問控制列表用于NAT地址池。Router(config)#access-list20permit55Router(config)#ipnatinsidesourcelist20

pool

mynatpool配置動態NAT（3）定義該接口連接內部網絡Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside定義接口連接外部網絡Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatoutside例如：Router(config)#interfaces0/1/0Router(config-if)#ipnatoutsideRouter(config)#interfacef0/0Router(config-if)#ipnatinside工作任務1：動態NAT配置背景描述：某公司局域網使用私有地址/24網段，通過路由器與Internet連接。公司申請公有地址為－0，在路由器上進行動態NAT轉換，實現局域網主機訪問Internet.NAT/24R1R2F0/0F0/1F0/0/24/24內部網絡外部網絡問題：如果要外網的主機訪問到內網，外部路由器還需要配置什么？/24/24F0/1/24/24工作要求①根據實際情況設計網絡拓撲結構②根據客戶需求制定配置方案和步驟，并以此為依據對網絡設備進行配置和調試。③將配置方案及主要命令記錄在工作過程記錄單上。④每一配置步驟都要求進行相應的驗證以保證當前配置的可靠性，尤其驗證NAT地址的轉換。⑤討論：如果要外網的主機訪問到內網，路由器還需要配置什么？配置步驟定義地址池定義ACL關聯POOL與ACL定義內部端口定義外部端口配置默認路由配置回程路由測試NAT轉換結果總結：項目完成注意事項除了與靜態NAT配置相同的注意事項外，大家在配置ACL時，要注意網絡通配符是反掩碼１４.４NAPT的配置課程議題配置步驟定義地址池定義ACL關聯POOL與ACL定義內部端口定義外部端口配置默認路由NAT與NAPT的區別是什么NAT（NetworkAddressTranslation）：轉換后，一個內部本地IP地址對應一個全局IP地址。不能同時滿足所有的內部網絡主機與外部網絡通信的需要。NAPT（NetworkAddressPortTranslation或NPAT）：轉換后，多個內部本地地址對應一個全局IP地址。NAPTNAPT只需要一個內部全局地址就可以映射多個內部本地地址，通過端口號來區分不同主機。

NAPT分為靜態NAPT及動態NAPT。常見的端口號FTP TCP 20，21Telnet TCP 23HTTP TCP 80DNS TCP,UDP53TFTP UDP 69Well-known端口：0-1023注冊端口：1024-49151動態或私有端口：49152-65535主機A102823…源端口目的端口主機B應用客戶端使用的源端口號一般為系統中未使用的且大于1023目的端口號為所進行的操作。如telnet為23。源/目的端口號102823SP.DP.102Seq.302Ack.102823DP.101Seq.301Ack.102823SP.DP.102Seq.301Ack.102823SP.DP.103Seq.302Ack.SP.TCP的工作過程hostAhostB靜態與動態NAPT靜態NAPT適用于需要向外網絡提供信息服務的主機永久的一對一“IP地址+端口”映射關系動態NAPT只訪問外網服務，不提供信息服務的主機臨時的一對一“IP地址＋端口”映射關系靜態NAPT工作過程內網中有一臺Web服務器和一臺FTP服務器，使用靜態NAPT可以將兩臺服務器都映射到一個公有地址（）上，并使用不同的端口號進行區分。靜態NAPT工作過程靜態NAPT配置（1）定義靜態轉換關系

Router(config)#ipnatinsidesourcestaticprotocollocal-ip

local-port

global-ipglobal-port

其中：protocol為TCP或UDP；local-ip為本地地址；global-ip為全局地址；local-port為本地地址的服務端口號；global-port為全局地址的服務端口號。（2）定義端口類型

Router(config-if)#ipnat{inside|outside}其中：inside表示連接內部網絡端口；outside表示連接外部網絡端口。

靜態NAPT配置顯示NAPT配置顯示轉換記錄Router#showipnattranslations工作任務－靜態NAPT配置案例背景：公司Web服務器主機地址為，需要將網站私有地址映射成全局合法地址，以便網站對外發布，使外網用戶可以訪問。NATR1R2F0/0F0/1S0/24/24/24Internet靜態NAPT配置Router(config)#ipnatinsidesourcestatictcp80Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddressRouter(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfaceFastEthernet0/1Router(config-if)#ipaddressRouter(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#iproutef0/1Router#showipnattranslations動態NAPT工作過程動態NAPT轉換（訪問過程）

動態NAPT工作過程動態NAPT轉換（響應過程）

案例引導背景描述：你是某公司的網絡管理員，公司只向ISP申請了一個合法的IP地址。假設你是該公司的網絡管理員，現要你在路由器上做適當配置，使內網的計算機都能訪問互聯網。NATR1R2F0S0S0/24/24NAPT案例

例如：50個內部節點可以用同一個全球地址5來瀏覽同一個網站（比如服務器63的80端口），但是每個節點都使用不同的源端口號。當Web服務器應答5時，NAT設備用應答數據包中的目的端口來決定它們是去往哪個內部用戶，并將該內部主機的IP地址放到包頭中。

協議內部本地IP地址：端口內部全局IP地址：端口外部全局IP地址：端口TCPTCPTCP1:13272:11265:12705:13275:11265:127063:8063:802:80NAPT轉換過程配置動態NAPT1.定義全局IP地址池，對于NAPT，一般就定義一個IP地址

Router(config)#ipnatpoolpool－namestart-addressend-address{netmask

mask|prefix-length

prefix-length}2.定義編號標準訪問列表，只有匹配該列表的地址才轉換Routert(config)#access-listaccess-list-numberpermit

ip-addresswildcard

3.

定義內部源地址動態轉換關系Router(config)#ipnatinsidesourcelist

access-list-number

pool

pool-nameoverload4.定義該接口連接內部網絡Router(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatinside5.定義接口連接外部網絡Routert(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatoutside工作任務：動態NAPT的配置背景描述：某公司局域網使用私有地址為/24網段，通過路由器和Internet連接。公司申請公有地址為~，在路由器上進行動態NAPT轉換，實現局域網主機訪問Internet.NATR1F0/0F0/1F0/0/24/24F0/10/24/24/24工作要求①根據實際情況設計網絡拓撲結構②根據客戶需求制定配置方案和步驟，并以此為依據對網絡設備進行配置和調試。③將配置方案及主要命令記錄在工作過程記錄單上。④每一配置步驟都要求進行相應的驗證以保證當前配置的可靠性，尤其驗證NAT地址的轉換。⑤討論：如果要外網的主機訪問到內網，路由器還需要配置什么？配置步驟定義地址池定義ACL關聯POOL與ACL定義內部端口定義外部端口配置默認路由配置回程路由測試NAT轉換結果動態NAPT配置Router(config)#ipnatpoolto_internetnetmaskRouter(config)#access-list10permit